Por que o CAcert não é confiável para meu navegador?

Sou bastante novo em criptografia e SSL. Hoje eu pesquisei um pouco (li alguns artigos sobre segurança) e encontrei o site https://cacert.org . Eu cliquei e fiquei surpreso. O Chrome me mostrou um erro “não confiável”. O certificado SSL parece não ser válido. Pesquisei o certificado e ele me mostra que a agência de certificação não é mais confiável. Eu tenho algumas perguntas agora:

  • Não é CAcert uma agência de certificação em si?
  • Por que isso?
  • Isso poderia ser algum tipo de ataque abordagem? (MITM)
  • O que posso fazer?
  • Onde posso obter mais informações?

Resposta

No caso de cacert.org, eles estão apresentando um certificado autoassinado e é por isso que seu navegador reclama. Não há cadeia de confiança que leve do certificado a uma CA raiz em que você confia.

Se você estivesse usando uma distribuição do Linux que vem com o certificado pré-instalado, não veria um aviso. seria inferido que, ao usar tal sistema, você confia na comunidade.

No caso de outros sistemas operacionais, você confia na PKI pública que é suportada (e fornecida na forma de um armazenamento de certificado raiz embutido em seus produtos ) da Microsoft, Apple, Google ou Mozilla.

Cacert.org está fora dessa infraestrutura e é por isso que você vê um aviso.


Por quê?

Sua decisão de “negócios”. Eles são livres para fazer o que quiserem ao fornecer serviços da web. Eles podem pedir aos usuários que instalem sua CA raiz, podem investir dinheiro e obter um certificado assinado para seu site ou não investir e obter um certificado de criptografia gratuita * .

Eles escolheram o primeiro modelo, aparentemente porque se encaixa no propósito deles e na ideia de “coma sua própria ração”.


O que você pode fazer?

Depende do que você deseja fazer. Você pode acessar o site com http://cacert.org/ e ler.

Se quiser acessá-lo com HTTPS, você pode exibir o certificado fornecido, examine-o você mesmo. Em seguida, tome sua própria decisão de confiar nele.

A parte complicada é que ele realmente pode ser um ataque MitM, então você deve comparar a assinatura digital do certificado que você obteve com uma assinatura obtida por meio de outra conexão confiável. Eles publicam as impressões digitais aqui , mas até que você confie neles reais, você não pode realmente confiar que o site pertence ao real então. Catch 21.

Você pode confirmar a assinatura com outra fonte de sua confiança (amigo, ou apenas pesquisar no Google a impressão digital que você obteve e avaliar, se estiver em todos os lugares confiáveis, tem chances de ser válida) ou usar o Debian que vem com seus certificado raiz pré-instalado para acessar o site por HTTPS.

Você pode seguir o link para obter instruções sobre como instalar sua CA raiz, instalar e confiar nos certificados que eles assinaram a partir de agora (incluindo o seu próprio) .


* Tecnicamente, eles poderiam usar um certificado reconhecido pela infraestrutura pública de seu site e evitar o problema de confiança inicial, mas talvez eles tenham decidido fazer você perguntar tal pergunta é melhor para a disseminação de conhecimento …

Comentários

  • " talvez eles tenham decidido que fazer você faz essa pergunta é melhor para espalhar o conhecimento … " como você vê que funcionou 🙂 Obrigado por esta resposta!

Resposta

Os certificados emitidos pelo CAcert não são autoassinados. Seu certificado raiz é autoassinado, como todas as outras CAs têm.

Por que a raiz CAcert não está incluída em nenhum dos principais navegadores (fazendo com que seu Chrome exiba o não seguro) é uma história completamente diferente . Eles se inscreveram, mas nunca conseguiram fazer as alterações solicitadas em suas políticas / procedimentos e comprovar as alterações no CA / Fórum do navegador.

Página da Wikipedia https://en.wikipedia.org/wiki/CAcert.org#Inclusion_status afirma:

A CAcert retirou o pedido de inclusão no final de abril 2007.

Então, agora eles estão apenas desaparecendo.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *